无需专门的设备即可检查网络的 TLS/SSL 进出？

目前，我正在管理一个小型家庭办公室设置 - 几台电脑和一个基于 x86 *nix 的软开源路由器。我想将流量扫描/检查移到边缘设备上。

其目的是增加未检测到的恶意软件和可疑流量的障碍，将主要流量扫描与任何最终用户设备分开，并通过在 LAN 网关处进行扫描来提高确定性。

目前，他们使用的消费者防病毒软件通过在 PC 上创建虚假 CA 来有效扫描 SSL。这是一款不错的品牌防病毒软件，可以正常工作，但存在问题。如果问题不太严重，他们希望确保将其作为企业问题处理，使用“适当”手段（他们的术语），而不是基于 PC 的消费者软件。

很明显，恶意软件越来越多地转向加密流量，如果不进行扫描，加密流量可能与正常的 https 流量难以区分。我无法根据端点进行过滤（可接受的端点范围太广，无法列入白名单，甚至“好”网站也可能无意中托管恶意软件），而且您无法获得常规端口上加密流量的其他可靠数据。

使用者（3 个合作伙伴，没有员工）之间有信任和良好的对话，他们都希望如此，因此内部不会出现道德/同意/隐私问题。流量足够低（网络/电子邮件），不需要大容量或专门的 UTM。

SSL 扫描的实际问题是 SSL 专为检测和防止 MITM（这就是 MITM）而设计，因此扫描需要使用自己的 CA 重写数据包。这是一个非常糟糕的想法，会“破坏”证书链，所以最好不要这样做……但唯一的选择似乎是根本不扫描任何 SSL/https，这被视为风险更大，可能更糟糕。就像民主一样，除了所有其他解决方案之外，这是最糟糕的解决方案 ;-) 例如，由于浏览器或本地设备无法验证证书链，因此边缘设备必须为它们执行此操作，如果不正确，则阻止或警告。但理论上如果在丢弃之前可靠地检查了外部证书链，那么在网关处或网关旁边进行 MITM 检查可能比根本不扫描 SSL 更安全。

我环顾四周，这确实似乎“存在”并在企业中使用，但通常作为独立设备。

有没有一种公认的方法可以在不使用专门设备的情况下做到这一点？

更新 1：

他们年纪较大，没有在电脑的陪伴下长大，尽管他们付出了努力，但仍然倾向于先点击然后担心，或者每次有疑问时都打电话。与其他 SMB 一样，他们也使用工作电脑进行购物/浏览/社交等，这增加了风险 - 他们知道这一点。SSL 扫描已经捕获了相当多的东西，这些东西显然没有被基于 PC 的黑名单设置阻止，包括看似合法的网站或“没人知道怎么做”的网站。即使黑名单会捕获“大多数”东西，他们也希望在未来有更大的安心，这可能是相当明智的。我认为这可能是他们最好的方法，如果我能弄清楚它是否可行以及如何做到。如果主要的反对意见是“不值得麻烦”，那么我仍然想研究它，以便他们可以考虑成本/收益。但到目前为止，我能找到的只是高端设备，我找不到是否存在用于此功能的软件/ FOSS 解决方案，尽管人们期望它们存在。但如果有的话，我找不到，因此有这个问题。